QNAP ha scaricato Container Station

[tommasodanna]

Buondì, accedendo poco fa al desktop del QTS via browser ho visto, tra le notifiche, che alle ore 02:35:30 di stanotte è stata installata tale app "Container Station". A quell'ora sono certo che ero in sonno profondo sul mio lettone. Nessun altro a parte me ha accesso (a quanto ne so) all'utente admin del mio NAS.
Mi sapete dire che è successo? è un'installazione automatica?

[FFFAB]

Controlla i registri nei minuti immediatamente precedenti a quell'ora e ti consiglio di attivare, nel caso non lo sia, il registro connessioni, monitorando il tutto per i prossimi giorni. Non è normale che un app (seppur importante) venga installata senza conferma alcuna.

[tommasodanna]

Buondì grazie

?? Idee ??

[selvaggi]

l'installazione automatica delle app non esiste per il momento.
le cose sono due, o sei sonnambulo, lo hai fatto e non ti ricordi, oppure, qualcuno è entrato, e ha fatto i suoi porci comodi, tantè che ti ha disattivato l'ip statico, attivato il dhcp e attivato il nat, creato il virtual switc 1 e 2 ed installato il conteiner, e il numero di origine ip riconosciuto è: 193.169.36.237 che corrisponde alla russia.
vedi qui: https://indirizzoip.ovh/193.169.36.237

[PiaNi]

Alla destra di registri eventi del sistema, c'è Registri connessioni del sistema. Attivali.
Cambia la password di admin e attiva le regole nella scheda sicurezza.

[selvaggi]

Alla destra di registri eventi del sistema, c'è Registri connessioni del sistema. Attivali.
Cambia la password di admin e attiva le regole nella scheda sicurezza.

oltre a fare quello che ti a detto PiaNi, al modem, cambia le password, e attiva se possibile le funzioni di blocco attacchi e la non possibilità di fare vedere la sessione di login verso la rete.
poi dentro il nas, attiva la protezione di accesso alla rete, trovi l'opzione in pannello di controllo, sistema, sicurezza.
vedi cosa ti ha installato dentro il conteiner e se non lo usi puoi disinstallare tutta l'app.
controlla con più antivirus se non ti ha installato qualche troian o altre merde.
cambia il nome dei tuoi ddns, (myqnapcloud e servizzi simili) se sa come ti chiami ti può rintracciare in ogni momento della giornata.

N.B. PER TUTTI! è sempre sconsigliato avere modem incomodato d'uso di telecom o altre compagnie per fare queste cose, spesso e volentieri sono sempre i primi a cadere nelle trappole dei hacker per via della loro diffusione sul mercato.

[tommasodanna]

Ho attivato la registrazione come mi avete consigliato.
Oggi ci sono stati due tentativi di log falliti tramite FTP. Uno in mattinata (ip 27.62.249.68 proveniente dall'india) e uno nel pomeriggio (ip 81.16.245.12 proveniente dalla georgia).
Il terzo login fallito risale a pochi minuti fa (ore 19:29) e l'ho causato io (ho reimpostato la password dell'utente admin e provato a riaccedere con la pass vecchia per assicurarmi che non funzionasse).



PS: dentro il container station qualcuno aveva inserito una versione di xubuntu xenial (una distribuzione linux) dentro macchina virtuale, sfruttando quindi il mio nas.

Sto cercando di seguire passo passo le vostre indicazioni. Come faccio ad assicurarmi che chi è passato di qui non ha combinato danni ai miei dati?

[merluzzo]

Fai il backup dei soli dati e controllali con antivirus/etc/etc poi brasa tutto e reinstalla il firmware.
Controlla anche le altre macchine che hai in rete.